it-swarm-ja.com

IPv6を無効にすると、攻撃の表面積が減り、パフォーマンスが向上しますか?

私には、環境にデプロイする前に新しいマシンが登場するたびに、IPv4を残したままIPv6を無効にするというこの全体的なキックに取り組んでいる同僚がいます。彼は個人的な事例証拠を取り上げ、IPv6を無効にすると、バックボーンとノードが処理する必要のある「広告/要求」パケットが少なくなるため、ネットワークのパフォーマンスに役立つと主張しています。次に彼は、攻撃者が攻撃を試みる可能性のある表面積も少なくなるとすぐに付け加えました。

これらの議論は紙の上では良いように聞こえますが、提供された事例証拠と、IPv6を無効にすることで提供される可能性のあるセキュリティの「予防措置」に疑問を投げかけます。ちなみに、私はこれを見つけました post ポスターの1つがIPv6がわずかな改善さえ提供できると述べているところ。 ネットワークの違いはさておき、これらの主張は水を保持しますか?

7
Chad Harrison

各デバイス/ PCがIPv6とIPv4の両方のARPキャッシュをアドバタイズおよび構築するため、彼は追加のオーバーヘッドについて100%正しいです。ただし、生成される実際のトラフィック量は非常に少ないです(通常のARPパケットサイズは 28バイト です)。

それは取るに足らないはずです。ただし、WMIクエリ、SNMPポーリング(トラップはトラフィックをあまり生成しない)を使用するNMSシステムのようなものがある場合、または遅延/品質に敏感な環境でnetflow/Jflowエクスポートを行う場合は、バックグラウンドをできるだけ削除するのが理にかなっています可能な限りノイズ。特にIPv6 ...内部でIPv6が必要になる可能性はありますか?疑わしいのは、IPv4のプライベートブロックが大企業にも十分なアドレスを提供するからです。ご使用の環境でIPv6が特に必要でない限り、より良い質問は、なぜIPv6をオンのままにするのかということです。私の環境では、トラブルシューティング時に問題を引き起こす可能性のある追加のレイヤーであるという理由だけで、それを省略していることを知っています。

ネットワークデバイスまたはPCがアクティブに使用されていない場合でも、応答お​​よびアドバタイズを行っていることを忘れないでください NetBIOS /ARPなので、少量のトラフィックが生成されていますが、まだいくつかあります。

さらに、「攻撃者が攻撃を試みる可能性のある表面積が少なくなる」ことを付け加えておきます。それは完全にナンセンスです...追加のファイアウォールを追加する必要があるわけではなく、IPv6トラフィック用にWAN。同じエッジデバイスがNAT = IPv6がオンかどうか。

5
Supercereal

Microsoftから

一部の組織では、WindowsVistaまたはWindowsServer 2008を実行しているコンピューターでIPv6を無効にしており、デフォルトでインストールされて有効になっています。多くの場合、IPv6を使用するアプリケーションやサービスを実行していないという前提に基づいて、IPv6を無効にします。他の人は、IPv4とIPv6の両方を有効にすると、DNSとWebトラフィックが効果的に2倍になるという誤解のために、それを無効にする可能性があります。本当じゃない。

Microsoftの観点からは、IPv6はWindowsオペレーティングシステムの必須部分であり、オペレーティングシステムの開発プロセス中に有効になり、標準のWindowsサービスおよびアプリケーションのテストに含まれます。 WindowsはIPv6が存在するように特別に設計されているため、MicrosoftはIPv6を無効にした場合の影響を判断するためのテストを実行しません。 Windows Vista、Windows Server 2008、またはそれ以降のバージョンでIPv6が無効になっている場合、一部のコンポーネントは機能しません。さらに、リモートアシスタンス、HomeGroup、DirectAccess、Windows Mailなど、IPv6を使用しているとは思わないアプリケーションも使用できます。

したがって、ネイティブまたはトンネリングのいずれかのIPv6対応ネットワークがない場合でも、IPv6を有効のままにしておくことをお勧めします。 IPv6を有効のままにしておくと、IPv6のみのアプリケーションとサービスが無効にならず(たとえば、Windows 7のHomeGroup、Windows7とWindowsServer 2008 R2のDirectAccessはIPv6のみ)、ホストはIPv6で強化された接続を利用できます。

10
Moab

使用しないサービスを無効にする必要があるというコンピュータセキュリティの一般的な理論は、かなりうまく機能していると思います。それが必要ない場合は、オフにしてください。これは、コンピュータセキュリティの標準的な最初のステップであり、ネットワークにも適用すべきではない理由がわかりません。

2
EightBitTony

これがあなたへの逸話です。

以前の雇用主の1つ(フォーチュン500企業)で、ネットワーク管理者がIPv6ファイアウォールルールの定義を間違えました。

結果? 内部IPv6対応ネットワークはすべてインターネットに公開されていました。私が彼にそれを指摘し、彼がすぐにそれを修正するまで。

この男も馬鹿ではなかった。 IPv6のNATがないという性質により、これが誤って実行するのが非常に簡単になっているだけです。それで...攻撃対象領域の増加? 地獄はい。

確かに、誰かがこのセキュリティホールを発見する可能性はかなり低いです。 IPv6ホストのブロックをポートスキャンするのは簡単ではありません。しかし、誰かの内部ネットワークのように見えるものからのトラフィックに気付いた場合は、話しているのを見たばかりのホストにいつでも話しかけることができます。

0
mpontillo